OpenClaw 24h 更新快报(2026-04-28):Yuanbao 渠道、Coven 运行时桥、子任务路由修复

内容管家
AI领域评论0字数 1275阅读4分15秒阅读模式
OpenClaw 24h 更新快报(2026-04-28):Yuanbao 渠道、Coven 运行时桥、子任务路由修复

OpenClaw 24h 更新快报(2026-04-28):Yuanbao 渠道、Coven 运行时桥、子任务路由修复

过去 24 小时,OpenClaw 项目合并了超过 30 条 PR,涵盖新渠道接入、运行时架构升级、安全加固与多项体验修复。本期重点关注:Yuanbao 频道正式上线、中国 AI 助手平台接入;Coven ACP 运行时桥以可选模式重新引入;Telegram 跨 Agent 子任务完成通知路由错误得到修复。

新渠道:Yuanbao 正式接入

PR #72756 为 OpenClaw 新增了 Yuanbao(腾讯元宝)即时通讯频道插件。Yuanbao 是国内重要的 AI 助手平台,此次集成以 WebSocket 双向通信实现,Wire 协议采用 Protobuf 编码,认证层使用 HMAC-SHA256,媒体文件上传依托腾讯 COS。插件内置 13 层入站中间件管道,覆盖内容抽取、引用解析、下载媒体、路由决策等完整链路,支持私聊与群聊(@-mention 门控可配置)、文本/图片/文件/语音/视频等多种消息类型,并提供多账号、回复引用、流式输出等商业级功能。对于已有 openclaw.json 配置的 Operator 而言,只需配置 appKey 与 appSecret 即可启用。

架构:Coven ACP 运行时桥重新上线

PR #72900 以可选模式重新引入 Coven ACP 运行时桥。该功能允许 ACP 会话通过本地 Coven 守护进程路由,同时保留 ACPX 作为默认降级路径。此次重新提交针对安全审核&查验做了多处加固:健康检查与 Socket 请求设有 bounded deadlines;守护进程响应有大小限制且无效 JSON 被包装为类型化 API 错误;cwd 路径经过 realpath 校验并拒绝符号链接逃逸;socketPath 与 covenHome 在每次请求前重新校验以防符号链接旋转攻击;运行时名称解码在 base64/JSON 解析前有边界限制;所有由守护进程/用户控制的输出、标题、状态摘要均经过清理再暴露给 ACP。目前该 PR 处于草稿状态,供维护者与安全自动化工具审核&查验。

Agent 子任务路由修复

PR #72806 修复了子 Agent 完成通知在 Telegram 上错误路由的问题:当 main/default 会话 spawn 子 Agent targeting 另一 Agent(如 novel-agent)时,子会话正确绑定到目标 Agent 的投递上下文,但完成公告有时会沿用该子绑定路径,导致完成标记出现在项目 Bot 窗口而非原始 main/default 对话中。问题根因在于 subagent-spawn.ts 错误地将 requesterOrigin 存储为 childSessionOrigin,且 subagent-announce-delivery.ts 对投递路由使用了非 fail-closed 的 fallback。修复将两者分离:completion delivery 严格绑定原始请求者路由,并在 subagent-announce-delivery 中设置 failClosed: true。

Google Talk 传输层修复

PR #72864 解决了 Google Realtime Voice 不支持浏览器 WebRTC 会话导致的静默失败问题:此前浏览器可能走到旧的 OpenAI 风格 WebRTC 路径并触发"provider does not support browser WebRTC sessions"错误,用户无法获得正确引导。修复后,系统自动将 Google Talk 保留在 Google 支持的 WebSocket 传输层;当返回不支持的 WebRTC 形状时,UI 层面直接展示下一步操作指引——重启网关使其返回 gateway-relay 或 json-pcm-websocket,或切换到支持 WebRTC 的实时语音提供商。同时移除了 Control UI 中旧的浏览器原生语音按钮,使 Talk 成为唯一的语音入口。

安全与稳定性多项加固

PR #72914 修复了 media-understanding 中 sanitizeMimeType 函数的正则表达式缺少结束锚定的问题:此前 image/png<script>、image/png\nx-injected: yes 等畸形输入被静默截断为合法类型并接受,存在隐藏攻击面的风险。修复后用 RFC 9110 可选 ;parameter 尾部和结束锚点正则化,畸形值返回 undefined 并触发跳过逻辑,text/html; charset=utf-8 等合法参数形式仍正常返回。

PR #73034 允许同主机直接调用方在 trusted-proxy 模式下于代理身份认证失败后使用网关密码降级认证,同时保持远程/直接调用方不受影响,解决了容器内或 SSH 隧道场景下的认证困难。

PR #72809 修复 Bonjour 插件中 mDNS 服务名和主机名未截断至 63 字节 DNS 标签限制的问题。

插件体系与记忆模块改进

PR #72888 修复了 registerHook() 未将 pluginConfig 注入钩子事件上下文的问题——插件在钩子处理器中访问 event.context.pluginConfig 曾收到 undefined,导致依赖配置的插件静默失效。

PR #72789 修复飞书频道群组放行逻辑:仅配置了 requireMention=false 而无 groupAllowFrom 的群组此前会被顶层 groupPolicy="allowlist" 默认策略静默拒绝。

PR #72852 将 memory-core 梦境叙述超时从 15 秒提升至 60 秒,解决即使网关预热完成后叙述子任务仍频繁超时的稳定性问题。

过去一天的安全基础设施也在持续加固:CodeQL 扫描覆盖扩大至 Android(PR #73001)、macOS(PR #73027)及 macOS 依赖项(PR #73047)专项安全分片。

常用链接

历史上的今天
4 月
28
 
内容管家

发表评论